Debian 12 mit KDE: Vergleichsweise hoher RAM-Verbrauch ggf. durch Rootkit verursacht?

[prox]

Hi,

was meint Ihr zu den folgenden Symptomen in meiner Debian 12 ("Bookworm") - Installation?

Nach dem Login in KDE + Start einer einzigen virtuellen Konsole ("konsole" von KDE) und darin die Ausführung des Befehls "free -h" bei Verbindung meines Rechners mit dem Internet folgendes Ergebnis:

Code: Alles auswählen

              gesamt       benutzt     frei      gemns.  Puffer/Cache verfügbar
Speicher:      3,7Gi       2,4Gi       215Mi       366Mi       1,7Gi       1,3Gi
Swap:          7,5Gi          0B       7,5Gi

Danach Ausführung von htop:

=> In der Zeile, die mit dem Begriff "Mem" beginnt, ist als beanspruchter Teil des RAM der Wert "1.9G/3.72G" angegeben.

Danach KDE-Startbutton > System > Systemonitor:

In der Grafik für "Speicher" steht folgender Wert:

"Belegt: 2,6 GiB / 3,7 GiB gesamt"

Aus den 3 o.g. Messwerten zum belegten Speicherplatz ergibt sich ein eklatanter Unterschied zwischen einerseits dem Programm free und dem KDE-Programm "Systemmonitor" und andererseits der RAM-Berechnung des Programms htop.

Im KDE-Programm "Systemmonitor" ist außerdem als "Programm" der Name "Kalender-Erinnerungen" mit einer Speicherplatz-Belegung von 766 MB angegeben. Dieser Wert kann sich nur auf das installierte KDE-Programm Kalender beziehen, das für dessen Betrieb Akonadi in Verbindung mit MySQL/MariaDB heranzieht.

Ich finde einen RAM-Verbrauch von 766 MB jedoch etwas übertrieben. Denn in meinem Kalender-Programm läuft nur eine einzige Kalender-Datei mit einer Dateigröße von weniger als 800 KB.

Im KDE-Programm "Systemmonitor" wird der RAM-Verbrauch meines einzig aktuell laufendes Webbrowsers LibreWolf (mit darin nur dieses Forum hier geöffnet) mit 492 MB angegeben. Das kommt mir auch viel zu viel vor.

In htop werden ca. 20 unterschiedliche LibreWolf-Prozesse angezeigt.

Die Plasmashell hat auch ca. genau so viele Prozesse gemäß der Anzeige in htop.

Kann es sein, dass in meiner Debian-Installation ein Rootkit o.ä. läuft?

Ich habe schon die mir bekannten Tools zum Aufspüren von Rootkits o.ä. auf dieser Kiste hier am Laufen.

Gruß

prox

[MSfree]

Kann es sein, dass in meiner Debian-Installation ein Rootkit o.ä. läuft?

Nein.

[GregorS]

was meint Ihr zu den folgenden Symptomen in meiner Debian 12 ("Bookworm") - Installation?

Ich habe KDE ganz allgemein als ziemlich Ressourcen-hungrig in Erinnerung. Hast Du auch einmal eine andere Desktop-Umgebung probiert?

[QT]

Was erwartest Du bei einem System mit (nur) 4GB RAM und bei Nutzung von KDE/Plasma? Und welch eklantante Unterschiede meinst Du?

[prox]

was meint Ihr zu den folgenden Symptomen in meiner Debian 12 ("Bookworm") - Installation?

Ich habe KDE ganz allgemein als ziemlich Ressourcen-hungrig in Erinnerung. Hast Du auch einmal eine andere Desktop-Umgebung probiert?

Bisher habe ich auch noch XFCE und LxQT unter Debian verwendet. Diese beiden DEs haben aber den Nachteil, dass sie unter Debian 12 nicht alternativ mit Hilfe von (X)Wayland betrieben werden können.

(X)Wayland scheint aber einen gewissen Schutz gegen unerwünschtes Kopieren von Inhalten zwischen den Benutzeroberflächen mehrerer Anwendungen in einer DE zu bieten, siehe die entsprechenden Einstellungen zu X11 in den KDE-Systemeinstellungen.

Und deswegen bevorzuge ich vorerst KDE als DE unter Debian 12.

PS: Ich habe gerade festgestellt, dass der Apostroph hinter dem Begriff "DE" zurzeit nicht erzeugt wird über die entsprechende Taste auf meiner Tastatur, das könnte ein Hinweis darauf sein, dass in meinem System unerwünschte Gäste rummachen.

[prox]

Was erwartest Du bei einem System mit (nur) 4GB RAM und bei Nutzung von KDE/Plasma? Und welch eklantante Unterschiede meinst Du?

Nach Neuinstallation von KDE + anschließender RAM-Nutzungs-Optimierung wie dem Löschen von Paketen mit unnötigen Daemons oder dem Maskieren unnötiger Daemons benötigt KDE auf meinen Systemen nur 680 MB am RAM direkt nach dem Login in KDE - wenn solche Dinge wie Kontact/KDE-PIM (Akonadi/MySQL/MariaDB) noch niemals gestartet worden sind.

Welchen RAM-Unterschied ich meine?

Aktuell zeigt mir "free -h" an, dass mein System 2,5 GB an RAM beansprucht.

htop zeigt mir aber an, dass es nur 1,97 GB an RAM beansprucht.

Diesen Unterschied meine ich.

Meine Frage lautet: Wie kann dieser Unterschied erklärt werden?

[debianoli]

https://de.m.wikipedia.org/wiki/Byte

Punkt Präfixe. Was kommt bei deinen Befehlen zum Einsatz, SI-Präfixe oder Binär-Präfixe?

[MSfree]

Welchen RAM-Unterschied ich meine?

Aktuell zeigt mir "free -h" an, dass mein System 2,5 GB an RAM beansprucht.

htop zeigt mir aber an, dass es nur 1,97 GB an RAM beansprucht.

Wenn du einen dritten Wert sehen willst, führe

Code: Alles auswählen

cat /proc/meminfo

aus

Was dort hinter MemAvailable steht, ist der einzig richtige Wert, denn der kommt vom Kernel selbst. Alles andere ist mehr oder weniger Kaffeesatzleserei.

Was MemFree angibt, ist nur der zur Zeit überhaupt nicht genutzte Speicher. Sollten Programme aber mehr Speicher benötigen als MemFree ist, dann kann der Kernel entweder swappen oder Cache rauswerfen und statt dessen Programmen zur Verfügung stellen. MemAvailable setzt sich also ungefähr aus der Summer von MemFree + Cached zusammen.

Was top, free und htop da im einzelnen auswürfeln, weiß ich nicht. Du darfst aber gerne in der Quellcode der Programme schauen und selbst herausfinden, was die für Zahlen ausgeben.

Als besonderes Schmankerl kommt noch dazu, daß wenn du zwei KDE-Programme startest, die ja zum großen Teil identischen Code ausführen, diese Codesegmente geteilt werden. Es mag z.B. so aussehen, daß kcalc 143MB benötigt und konsole 150MB. In Summe benötigen sie aber keine 293MB sondern vielleicht 160MB.

Speicherverwaltung ist also kompliziert. Programme wie htop oder top zeigen zwar nichts falsches an, sie berücksichtigen aber nicht den geteilten Speicher. Unterscheidliche Interpretationen der vom Kernel gelieferten Werte und Summierung dieser führen halt zu unterschiedlichen Darstellungen.

Irgendwelche Schadsoftware ist jedenfalls weder für deine Speicherauslastung ursächlich noch für nicht funktionierende Tasten.

[prox]

Speicherverwaltung ist also kompliziert. Programme wie htop oder top zeigen zwar nichts falsches an, sie berücksichtigen aber nicht den geteilten Speicher. Unterscheidliche Interpretationen der vom Kernel gelieferten Werte und Summierung dieser führen halt zu unterschiedlichen Darstellungen.

Vielen Dank für Deine Info, MSfree

Wir haben es hier mit meinem mittlerweile 11 Jahre alten Laptop zu tun, den hattest Du hier im Forum schon mal kennengelernt, siehe Deine diesbezügliche Hardware-Analyse aus der Ferne von vor so 2 oder 3 Jahren zu einem offensichtlich nicht strom-entleerten Transistor in meinem Laptop oder in dessen Netzteil

Irgendwelche Schadsoftware ist jedenfalls weder für deine Speicherauslastung ursächlich noch für nicht funktionierende Tasten.

Ja, das beruhigt schon in gewisser Weise. Trotzdem hatte ich mit diesen "Kumpels" bis vor nicht so langer Zeit leider zu tun, und ich hoffe jetzt, dass sie endlich weg sind. Falls nicht, beleidige ich sie eben mit meiner Nachricht in der Datei /etc/issue auf meinem Laptop

Viele Grüße

prox

[uname]

Code: Alles auswählen

              gesamt       benutzt     frei      gemns.  Puffer/Cache verfügbar
Speicher:      3,7Gi       2,4Gi       215Mi       366Mi       1,7Gi       1,3Gi
Swap:          7,5Gi          0B       7,5Gi

Ist es nicht so, dass in den benutzten 2,4 GB die 1,7 GB von Puffer/Cache bereits enthalten sind? Damit ist die aktuelle echte Speicherbelegung durch Anwendungen etwa 0,7 GB, was meiner Meinung nach auch eher einem Environment Desktop wie KDE entspricht. Du könntest mal in htop die Taste "M" (großes M) drücken (zur Sortierung nach Speicherbelegung) und schauen, welche Anwendungen am meisten Speicher belegen. Starte ein paar Anwendungen, wiederhole sowohl "free -h", "htop", "cat /proc/meminfo" und poste ein paar Ausgaben.

Ich halte 4 GB RAM bei KDE für vollkommen ausreichend. Interessant wird es, wenn man zusätzlich Anwendungen mit viel Speicher wie z. B. Virtualisierung nutzt. Starte gerne mal ganz viele installierte Anwendungen und wiederhole "free -h", "htop" und "cat /proc/meminfo". Wann reicht der Speicher nicht mehr? Wann wird Swap benutzt?

Natürlich ist es gut auch für Puffer/Cache große Werte zu haben. So müssen geschlossene und wieder geöffnete Programme und Dateien nicht über die langsame HDD oder SSD neu geladen werden.

[prox]

Ist es nicht so, dass in den benutzten 2,4 GB die 1,7 GB von Puffer/Cache bereits enthalten sind? Damit ist die aktuelle echte Speicherbelegung durch Anwendungen etwa 0,7 GB, was meiner Meinung nach auch eher einem Environment Desktop wie KDE entspricht.

Du könntest Recht mit Deiner Vermutung haben, das würde auch den Unterschied von ca. 0,5 GB RAM-Gebrauch zwischen der Ausgabe von "free -h" und dem KDE-Systemmonitor ungefähr erklären.

Du könntest mal in htop die Taste "M" (großes M) drücken (zur Sortierung nach Speicherbelegung) und schauen, welche Anwendungen am meisten Speicher belegen. Starte ein paar Anwendungen, wiederhole sowohl "free -h", "htop", "cat /proc/meminfo" und poste ein paar Ausgaben.

Aktuell laufen bei mir a) Konsole, b) KDE-PIM und ein Web-Browser.

In htop, wenn ich zuerst F6 ("Sort by") drücke und dann SHIFT+M, danach [ENTER], dann wird der Verbrauch des virtuellen Memory in htop ausgegeben.

Die Programme, die dann aber in der Liste ganz oben ausgegeben werden, sind aber nicht a) Konsole, b) KDE-PIM und der Webbrowser, sondern solche Dinge wie

- kwalletd5
- Networkmanager
- und andere generelle Daemons

, jedoch jeweils repräsentiert durch mehrere Sub-Prozesse.

Über F6 => Taste "m" ("Percent_Mem") sieht die Ausgabe ähnlich aus.

Ich halte 4 GB RAM bei KDE für vollkommen ausreichend.

Der ClamAV-Daemon an sich frisst schon ziemlich viel an RAM, deswegen schalte ich ihn auch nur dann ein, wenn ich meinen Rechner durch ClamAV nach Viren, Trojanern usw. scannen lassen will.

Interessant wird es, wenn man zusätzlich Anwendungen mit viel Speicher wie z. B. Virtualisierung nutzt. Starte gerne mal ganz viele installierte Anwendungen und wiederhole "free -h", "htop" und "cat /proc/meminfo". Wann reicht der Speicher nicht mehr? Wann wird Swap benutzt?

Also, ne Virtualbox auf diesem Rechner hier mit 4 GB RAM zu betreiben, das bringt ja nun wirklich nix

Gruß

prox

[MSfree]

In htop, wenn ich zuerst F6 ("Sort by") drücke und dann SHIFT+M, danach [ENTER], dann wird der Verbrauch des virtuellen Memory in htop ausgegeben.

Virtueller Speicher ist kein Maß für Speicherverbrauch sondern zeigt nur an, wie groß der Adressraum ist, den ein Programm beansprucht. Der Adressraum ist aber weitgehend unabhängig vom Speicherverbrauch.

Eine Anwendung kann z.B. vom Kernel 2GB RAM anfordern. Dann wächst der Adressraum um dies 2GB. Solange das Programm aber nicht auf ein einziges Byte innerhalb dieses Adressraums zugreift, wird auch kein einziges Byte physischer Speicher verbraucht. Sinnvoller ist da die Angabe des resident Size (5. Spalte in der Ausgabe von top).

[prox]

Danke noch einmal, @MSfree.

Bei der Ausgabe von htop, was den jeweils in Anspruch genommenen RAM betrifft, blicke ich immer noch nicht ganz durch. Aber ich habe mir Deine letzte Antwort ein weiteres Mal durchgelesen - die Ausgabe in Spalte RES, die ist in top/htop wohl die entscheidende, was den RAM-Verbrauch pro Programm betrifft.

[MSfree]

die Ausgabe in Spalte RES, die ist in top/htop wohl die entscheidende, was den RAM-Verbrauch pro Programm betrifft.

Jein

Hier läuft gerade ein kcalc, das mir von top mit 139M virt, 12M res und 7.9M shr angezeigt wird. Kcalc bringt hier also nur etwas mehr als 4MB eigenem Code mit und blendet sich zusätzlich fast 8MB shared Code in seinen virtuellen Adressraum ein. Der shared Code befindet sich aber systemweit nur einmal im RAM. Rein netto beelgt kcalc hier also nur etwas mehr als 4MB.

Der Kernel macht hier eine Menge clevere Dinge, um nicht unnötig RAM zu belegen und gleichzeitig, um Bibliotheken nicht bei Pragrammstarts immer wieder von der Platte/SSD laden zu müssen. Man spart also RAM und Zeit.

[prox]

Hier läuft gerade ein kcalc, das mir von top mit 139M virt, 12M res und 7.9M shr angezeigt wird. Kcalc bringt hier also nur etwas mehr als 4MB eigenem Code mit und blendet sich zusätzlich fast 8MB shared Code in seinen virtuellen Adressraum ein. Der shared Code befindet sich aber systemweit nur einmal im RAM. Rein netto beelgt kcalc hier also nur etwas mehr als 4MB.

Bei mir wird kcalc, wovon nur 1 Instanz läuft, wie folgt in htop angezeigt:

- VIRT: 678 M
- RES: 114 M
- SHR: 92996
- MEM%: 3

Mir fällt beim Vergleich zwischen htop und top auf, dass es in htop lediglich eine Tree View gibt, während es in top sogar eine Forrest View gibt

Der Kernel macht hier eine Menge clevere Dinge, um nicht unnötig RAM zu belegen und gleichzeitig, um Bibliotheken nicht bei Pragrammstarts immer wieder von der Platte/SSD laden zu müssen. Man spart also RAM und Zeit.

Ja, das finde ich auch sehr gut. Ist ja auch schließlich kein Windows 11, so ein Linux ... (nicht ernst gemeint).

Schmeckt Dir von RAMA die Margarine "Soo buttrig?" auch so gut?

Sorry for the Sneak Commercial.

[prox]

Update:

Habe mittlerweile Debian 12 vom Laptop runtergeschmissen und durch Tuxedo OS 4, das auf Ubuntu Noble (24.04?) basiert, ersetzt. Weil Wayland in Tuxedo OS 4 so weit in stabiler Weise entwickelt worden ist, dass mensch dort die "Wayland to X11 Bridge" per Mausklick in der KDE-GUI einfach beenden kann und somit Hackern weitaus weniger Möglichkeiten bietet, Dinge aus den Benutzeroberflächen einzelner GUI-Programm heraus zu kopieren und hinein zu schreiben.

Aber am 06.03.2025 spuckte mir das Programm debsums auf meinem Laptop unter Tuxedo OS 4 u.a. folgende Zeile aus:

debsums: changed file /boot/vmlinuz-6.11.0-109018-tuxedo (observed:ffaf794e68b3c010406e662cce065e3b expected:ccbc871598d6c880c02e7d5268ec0180) (from linux-image-6.11.0-109018-tuxedo package)

Hier kann es sich nur um ein Kernel Mode Rootkit handeln, siehe

https://en.wikipedia.org/wiki/Rootkit#Kernel_mode

Ich kriege den betreffenden Kernel nicht weg, habe zwar einen weiteren generischen Kernel dazu installiert, aber wenn ich den o.g. Kernel löschen will, sagt mir apt, dass es mir deswegen den gleichen Kernel, dieses Mal jedoch unsigniert, installieren würde.

Ich nehme an, wenn ich den unsignierten Kernel installieren würde und diesen unsignierten Kernel dann löschen wollen würde, dass mir apt dann den signierten + gleichen Kernel wieder aufdrücken wollen würde.

Also muss das Rootkit weg. Das Ding muss irgendwie bei der Erzeugung der Initram mitmischen und somit irgendwelche korrupten Treiber (Kernelmodule) auf meinen Rechner eingespielt haben.

Da fällt mir noch folgender Eintrag aus der Analyse von debsums vom 6.3.2025 ein:

debsums: changed file /usr/share/misc/pci.ids (observed:d46f97d15f4ed288b9a4fff63e3d8ea2 expected:c044dbc5bf9b4e71cdbe783c5bb00e43) (from pci.ids package)

So.

Vorhin wollte ich mir deswegen OSSEC (die kostenlose Variante) installieren, siehe

https://www.ossec.net/

Nö. Es (das Rootkit) lässt mich nicht wie ich will. Jedes Mal, wenn ich das Paket ossec-hids-server herunterlade, kommt dieses Paket mit einer Größe von nur 725 Kb an, das ist viel zu klein für eine Server-Applikation. Anschließend bei der Installation dieses Pakets kriege ich auch keinen Einrichtungs-Assistenten angezeigt, und es gibt nur diesen Dienst hier auf meiner Kiste:

Code: Alles auswählen

root@<Hostname>:~# systemctl list-unit-files | grep -i ossec
ossec.service                                generated       -
root@<Hostname>:~#

PS: Der root-Account in meiner Tuxedo OS 4 Installation ist Absicht.

Und ein

Code: Alles auswählen

dpkg-reconfigure ossec-hids-server

führt ohne irgendeine Einrichtungsabfrage direkt wieder zurück zum Konsoleprompt.

Seit spätestens dem 31.12.2024 verfüge ich über kein eigenes digitales Kommunikationsgerät mit Linux und Android als BS, das nachweislich nicht kompromittiert ist oder zu sein scheint. Ihr könnt Euch sicherlich gut vorstellen, dass mir das alles echt sehr auf die Nüsse geht.

Und Windows habe ich seit Jahrtrillionen nicht mehr auf meinen Endgeräten.

Danke fürs Zuhören.

Nachtrag: Falls hier jetzt wegen meines Beitrags irgendwas in diesem Thread nicht mehr wie gewohnt funktioniert, dann würde mich das nicht wundern. Meine lieben Hackerfreund:innen sind ja Meister im Manipulieren digitaler Dinge. Vielleicht sitzen da aber auch keine Menschen hinter, sondern gleich irgendeine China-KI oder so.

[smutbert]

Spaßeshalber habe ich mir einmal das Kernelpaket von tuxedo heruntergeladen und die Prüfsumme deiner monierten Datei geprüft, mit demselben Ergebnis wie bei dir:

Code: Alles auswählen

$ md5sum vmlinuz-6.11.0-109018-tuxedo 
ffaf794e68b3c010406e662cce065e3b  vmlinuz-6.11.0-109018-tuxedo

Das heißt aber nicht, dass ich glaube, dass tuxedo OS mit rootkit ausgeliefert wird sondern, dass ich davon ausgehe, dass tuxedo beim Anpassen von Ubuntu einfach geschlampt hat.

[towo]

Da fällt mir noch folgender Eintrag aus der Analyse von debsums vom 6.3.2025 ein:

debsums: changed file /usr/share/misc/pci.ids (observed:d46f97d15f4ed288b9a4fff63e3d8ea2 expected:c044dbc5bf9b4e71cdbe783c5bb00e43) (from pci.ids package)

Nuja, dfür brauchts ja nun wahrlich kein rootkit, da reicht ein simples

Code: Alles auswählen

sudo update-pciids

Und beim Kernel liegt die Ursache vermutlich im nachträglichen signieren des Kernels.

[prox]

Hi smutbert,

Spaßeshalber habe ich mir einmal das Kernelpaket von tuxedo heruntergeladen und die Prüfsumme deiner monierten Datei geprüft, mit demselben Ergebnis wie bei dir:

Code: Alles auswählen

$ md5sum vmlinuz-6.11.0-109018-tuxedo 
ffaf794e68b3c010406e662cce065e3b  vmlinuz-6.11.0-109018-tuxedo

Das heißt aber nicht, dass ich glaube, dass tuxedo OS mit rootkit ausgeliefert wird sondern, dass ich davon ausgehe, dass tuxedo beim Anpassen von Ubuntu einfach geschlampt hat.

oha, ich hatte schon so etwas in dieser Art befürchtet ... trotzdem vielen Dank für Deine Überprüfung.

Meine aktuelle Tuxedo-OS-Installation scheint sich ab heute auch über meine USB-Sticks verbreiten zu wollen - das Einhängen in Dolphin bis zum Erscheinen des USB-Sticks in Dolphin dauert einfach viel zu lange, und danach knuspert die HD in meinem Laptop ein bisschen herum - so, als ob da was auf den Stick kopiert wird, ohne dass ich das will.

Zeit, die aktuelle Tuxedo-Installation wieder ins Nirvana zu schießen.

[prox]

Hi towo,

Da fällt mir noch folgender Eintrag aus der Analyse von debsums vom 6.3.2025 ein:

debsums: changed file /usr/share/misc/pci.ids (observed:d46f97d15f4ed288b9a4fff63e3d8ea2 expected:c044dbc5bf9b4e71cdbe783c5bb00e43) (from pci.ids package)

Nuja, dfür brauchts ja nun wahrlich kein rootkit, da reicht ein simples

Code: Alles auswählen

sudo update-pciids

Und beim Kernel liegt die Ursache vermutlich im nachträglichen signieren des Kernels.

auch Dir ein Dankeschön für Deine Infos. Vielleicht komme ich ja noch dazu, sie zu überprüfen. Aber eigentlich will ich ja eine saubere, nicht-kompromitierte Linux-Installation. Kann letztendlich nur an der HW liegen, die ist einfach zu alt in meinem Laptop.

Falls wen wer sich hierfür interessiert, das ist eine gute Seite, finde ich:

https://wiki.archlinux.org/title/Security

Dort steht lustiger Befehl, der hier:

3.2 Hardware vulnerabilities

[...]

To check if you are affected by a known vulnerability, run the following:

$ grep -r . /sys/devices/system/cpu/vulnerabilities/

[prox]

Ein weiteres Update:

Tuxedo OS 4 befindet sich weiterhin auf meinem HW-technisch gesehen veralteten Laptop.

Habe den Tuxedo-eigenen Kernel wieder aktiviert (falls der Anbieter dieses Kernels einfach nur nicht richtig aufgepasst hat), er wäre im Grub-Menü wieder bootbar, lasse aber voreingestellt einen anderen, hier: generischen Kernel beim Booten laden.

Habe dann in die installierten Pakete reingeschaut: Installiert war z. B. das Paket network-manager-openvpn, habe ich deinstalliert, und dies, obwohl ich dachte, ich hätte es eh direkt nach der Installation von Tuxedo OS 4 deinstalliert. Entweder wird dieses Paket bei jedem apt update && apt upgrade automatisch immer wieder installiert. Oder die Hacker-Peoplez haben dieses Paket installiert um schön irgendwo hin nach Hause telefonieren zu können.

Dann habe ich festgestellt, dass ein *clang*-Paket installiert war, das ist doch ein Compiler? Habe ich auch deinstalliert. Und der gcc, der war auch installiert, habe ich auch deinstalliert. Nicht, dass die netten Hacker-Peoplez sich irgendwelchen schönen bösartigen Programme kompilieren ...

[towo]

Dann habe ich festgestellt, dass ein *clang*-Paket installiert war, das ist doch ein Compiler? Habe ich auch deinstalliert. Und der gcc, der war auch installiert, habe ich auch deinstalliert. Nicht, dass die netten Hacker-Peoplez sich irgendwelchen schönen bösartigen Programme kompilieren ...

Nuja, ich bin raus, für Aluhutträger ist mir meine Zeit zu schade.

[prox]

Biste eben raus, towo.

Habe gerade diesen Befehl ausgeführt:

Code: Alles auswählen

root@<Hostname>:~# apt list '*-dev' | grep -i installiert

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

dpkg-dev/noble-updates,noble-updates,noble-security,noble-security,now 1.22.6ubuntu6.1 all  [Installiert,automatisch]
libgcc-13-dev/noble-updates,noble-security,now 13.3.0-6ubuntu2~24.04 amd64  [Installiert,automatisch]
systemd-dev/noble-updates,noble-updates,now 255.4-1ubuntu8.5 all  [Installiert,automatisch]
root@<Hostname>:~# 

Diese Pakete hatte ich auch nicht installiert, schon sehr merkwürdig, das alles (mal wieder). Diese Pakete mache ich gleich weg, unter der Voraussetzung, dass ich meine Installation nicht dadurch zerschießen würde.

[prox]

Nachtrag:

Der englischsprachige Wikipedia-Artikel zum Thema "Rootkit" ist offensichtlich recht umfassend in seiner relativen Kürze, siehe:

https://en.wikipedia.org/wiki/Rootkit

PS: Ich kriege jetzt offensichtlich keine automatischen E-Mail-Benachrichtigungen mehr, wenn jemand in den Threads, in denen ich mindestens 1 Beitrag geschrieben habe, einen neuen Beitrag schreibt, obwohl ich auch hier in diesem Thread die Option "Mich benachrichtigen, sobald eine Antwort geschrieben wurde" aktiviert habe.

Zufall?

[uname]

Frage ist eher wie du dir Pakete von Ubuntu 24.04 LTS Noble eingefangen hast. Hattest du die Quellen für irgendwas genutzt?